Datenschutzgesetz (DSGVO) in der Schweiz erklärt

Auswirkung der GDPR auf Schweizer Unternehmen

Kurz und knapp

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft und ermöglicht natürlichen Personen, die sich in der Europäischen Union (EU) befinden, eine stärkere Kontrolle über ihre personenbezogenen Daten.

Aufgrund der extraterritorialen Anwendbarkeit kann die GDPR auch ausserhalb der EU gelten, wenn die entsprechenden Voraussetzungen gegeben sind.

Anknüpfungspunkte der Schweiz und Auswirkungen

Relevanten Kriterien, welche die Anwendbarkeit der GDPR in der Schweiz auslösen:

Zielgruppe in der EU: Bearbeitung personenbezogener Daten von natürlichen Personen mit Aufenthalt in der EU durch eine Bank/einen Vermögensverwalter mit Sitz in der Schweiz,
Niederlassung in der EU: Bearbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Zweigstelle eines schweizerischen Unternehmens in der EU.

EU-Datenschutz-Grundverordnung (GDPR)

EU GDPR Anforderungen und Dienstleistugnen

Grundsätze der Datenverarbeitung

Anforderungen:

Rechtmässigkeit, Fairness und Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit (einschl. Sicherheit)
Rechenschaftspflicht
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen *

Unsere Dienstleistungen:

Beratung hinsichtlich der personenbezogenen Daten, die verarbeitet werden dürfen (rechtliche Grundlage), Ermittlung der/des Datenschutzbeauftragten und Prüfung der Übereinstimmung mit allen (bisweilen auch widersprüchlichen) gesetzlichen Vorschriften
Feststellung der Erfordernisse für die Einführung bzw. Anpassung von Prozessen und Verfahren, darunter Entwicklung der zur Eingliederung der Datenverarbeitungsgrundsätze beim Unternehmen benötigten Tools
Verarbeitung personenbezogener Daten über verschiedene Branchen und Sektoren hinweg
Verarbeitung personenbezogener Mitarbeiterdaten (HR)
Automatisierte Entscheidungsfindung (ADM) und Profilbildung
Prüfung der gesetzlichen Vorschriften im Bereich Datensicherheit (z. B. Anonymisierung, Pseudonymisierung, Verschlüsselung usw.)
Erfüllung der Rechenschaftspflichten (z. B. Dokumentation gemäss DSGVO)

Rechte der Datensubjekte

Anforderungen:

Zugriffsrechte für betroffene Personen
Recht auf Widerruf der Einwilligung *
Recht auf Berichtigung *
Recht auf Datenübertragbarkeit *
Widerspruchsrecht gegen die Verarbeitung *
Recht, nicht einem automatisierten Entscheidungsprozess unterworfen zu sein (einschl. Profiling) *
Recht auf Löschung *
Recht auf Einschränkung der Verarbeitung *

Unsere Dienstleistungen:

Prüfung und Implementierung der Rechte von Datensubjekten (z. B. Zugriffsrechte und Anspruch auf Datenlöschung)
Einführung wirksamer Prozesse zur adäquaten Dimensionierung des Auftragsumfangs; der Umfang muss klar und genau definiert sein
Analyse von Datenquellen und deren Verwendung: Ansicht bzw. Taxonomie von Datenbeständen, geschäftliche und IT-Perspektive (systemspezifische Sicht auf personenbezogene Daten)
Prüfung und Gestaltung des Ansatzes zum Umgang mit unstrukturierten Daten, z. B. Daten aus Textfeldern mit freiem Format, PDFs und sonstigen schwer identifizierbaren und abrufbaren Dokumenten

Datenübertragungen

Anforderungen:

Übermittlung innerhalb der Unternehmensgruppe
Übermittlung an andere Unternehmen (Dritte)
Übermittlung im Zusammenhang mit Gerichtsverfahren und Ermittlungen

Unsere Dienstleistungen:

Feststellung solcher personenbezogenen Daten, die an Dritte oder verarbeitende Stellen im eigenen Unternehmen zu übermitteln sind
Prüfung inventarbezogener Massnahmen, um festzustellen, welche Datenattribute zu welchem Zweck im Rahmen von Change the Bank (CTB) und Run the Bank (RTB) an Dritte übermittelt werden
Rechtsberatung bei der Festlegung bzw. Neufestlegung vertraglicher Vereinbarungen zwischen den Stellen, die an der Entwicklung eines Rahmens für die Datenübermittlung innerhalb der Gruppe beteiligt sind
Überprüfung bestehender Verträge mit Dritten und Identifizierung der an Dritte übermittelten personenbezogenen Daten einschliesslich Angabe von Übermittlungs- und Verarbeitungszweck
Rechtsberatung für Unternehmen, die ihr Repapering prüfen, bei der Festlegung bzw. Neufestlegung der vertraglichen Vereinbarungen zwischen den beteiligten Stellen
Erstellung von Dokumenten und Richtlinien für konzerninterne und internationale Vereinbarungen zur Datenübermittlung

Governance, Richtlinien und Kontrollrahmen

Anforderungen:

Datenschutz-Folgeabschätzung *
Verzeichnis der Verarbeitung personenbezogener Daten *
Federführende Aufsichtsbehörde *
Datenschutzbeauftragter *
Technische und organisatorische Massnahmen für die persönliche Datensicherheit

Unsere Dienstleistungen:

Festlegung der notwendigen Massnahmen im Zusammenhang mit Governance, Richtlinien und Kontrollrahmen
Erstellung von Dokumenten und Richtlinien zu
- internem Datenschutz und Governance-Architekturen
- unternehmensinternem Datenschutz, etwa bei der Verwendung von E-Mails und Internet am Arbeitsplatz sowie bei der Speicherung und Archivierung von Daten
- Datenschutzmassnahmen für Websites und E-Commerce
- Zustimmungserklärungen für die Datenverarbeitung
- Datenverarbeitungsvereinbarungen, vor allem im Zusammenhang mit ausgelagerten Projekten
- Joint-Controller-Verträgen, insbesondere in Verbindung mit geteilten Plattformen und cloudbasierten Lösungen (z. B. Cloud-Computing, Internet der Dinge)

Datenschutzverletzungen

Anforderungen:

Meldung an Aufsichtsbehörde *
Meldung an die betroffene Person *

Unsere Dienstleistungen:

Sanierung bestehender Verletzungen des Schutzes personenbezogener Daten und des Sicherheitsrahmens
Beratung der Rechts- und IT-Teams bei der Implementierung eines Triage- und Meldeprozesses für Datenschutzverletzungen
Erstellung eines Überblicks über bestehende Sicherheitsstrukturen und Gewährleistung angemessener technischer und organisatorischer Massnahmen zur Verschlüsselung von Daten im Fall eines unbefugten Zugriffs
Beratung bei der Gestaltung und Umsetzung von Meldepflichten für Datenschutzverletzungen oder Datenverluste (z. B. Meldung von DSGVO-Verletzungen) an die Datenschutzbehörden und/oder Datensubjekte

Kontakte

Philipp Rosenauer

Partner Legal, PwC Switzerland

+41 58 792 18 56

E-Mail

Patrick Akiki

Partner, Financial Services Market Lead, PwC Switzerland

+41 58 792 25 19

E-Mail

Urs Küderli

Partner and Leader Cybersecurity and Privacy, PwC Switzerland

+41 58 792 42 21

E-Mail